Protocole d'entente sur l'échange de renseignements relatifs aux impôts avec Revenu Québec

Direction générale de la vérification et de l'évaluation de l'entreprise
février 2006

• Sommaire exécutif
• Introduction
• Portée de la vérification
• Constatations, recommandations et plans d'action
  • Personnes autorisées
  • Renseignements échangés
  • Confidentialité et sécurité
  • Contrôles et suivis
  • Entreposage, retour ou destruction
  • Mise à jour du protocole d'entente
• Conclusion

Sommaire exécutif

Contexte: L'Agence du revenu du Canada (ARC) a plus de 300 protocoles d'entente (PE) et accords conclus avec les ministères et les organismes fédéraux, provinciaux et territoriaux. Ces PE sont sous la responsabilité de la Division des relations fédérales et provinciales et de la politique (DRFPP) de la Direction générale de la politique et de la planification (DGPP)[Note 1], laquelle division agit à titre de bureau de première responsabilité, de centre d'expertise et d'autorité fonctionnelle pour ces ententes. Le protocole sur les échanges de renseignements relatifs aux impôts conclu le 24 août 1988, entre le ministre du Revenu national et le ministre du Revenu du Québec, fait l'objet de la présente vérification. Compte tenu que de nombreux échanges de renseignements s'effectuent au niveau du Bureau régional du Québec et de ses bureaux locaux, le directeur des programmes fiscaux (DPF) de la région du Québec assume conjointement avec la DGPP la responsabilité de mise en oeuvre des activités décrites dans cette entente. De plus, le DPF coordonne les demandes de renseignements des autres régions de l'ARC devant être acheminées à Revenu Québec (RQ).

Les échanges de renseignements effectués dans le cadre de ce PE sont nombreux et constituent une source importante d'information pour l'atteinte des objectifs des divers programmes des deux organisations. Ce PE couvre l'échange de renseignements provenant de différents secteurs opérationnels de l'ARC, impliquant l'envoi de plus de 65 types d'information à RQ et la réception de 31 types d'information de celui-ci et ce, à des fréquences variables. Notons qu'un seul type d'information peut représenter plusieurs milliers d'échanges distincts. Ces échanges s'effectuent par les bureaux de la région du Québec ainsi que par plusieurs directions générales de l'ARC.

La divulgation d'un renseignement confidentiel est permise si elle rencontre les exigences du paragraphe 241(4) de la Loi de l'impôt sur le revenu du Canada (LIR). Selon le paragraphe 241(4), un renseignement confidentiel peut être divulgué à un fonctionnaire provincial, sous certaines conditions. En accord avec le paragraphe 241(4), le PE énonce des exigences additionnelles; essentiellement, le PE est une entente administrative dont le but est de mieux encadrer les échanges de renseignements entre l'ARC et RQ.

Au cours des dernières années, RQ a complété une vérification interne portant sur ce PE au sein de ses opérations. Subséquemment, RQ a demandé à l'ARC de procéder à une vérification similaire. Cette vérification fait également partie d'un ensemble de vérifications visant à assurer l'observation des modalités régissant les échanges d'information entre l'ARC et d'autres organisations.

Objectif: L'objectif de la vérification consistait à fournir l'assurance à la haute direction que l'ARC respecte les conditions générales régissant la réception, l'utilisation, l'entreposage, et le retour ou la destruction des renseignements reçus de RQ de même que l'envoi de renseignements à ce dernier conformément au PE. Cette vérification s'est tenue dans la région du Québec, ainsi qu'à l'Administration centrale. La phase d'examen s'est déroulée de novembre 2004 à juin 2005.

Il importe aussi de spécifier que cette vérification ne traite pas des autres PE, accords, conventions, lettres d'intention et autres arrangements conclus avec le gouvernement du Québec lesquels font l'objet d'ententes de collaboration écrites distinctes.

Conclusion: L'ARC a mis en place des moyens afin de protéger le caractère confidentiel des renseignements sur les clients sous sa responsabilité, sans égard à leur provenance. Toutefois, elle se doit de resserrer la gestion de ce PE afin que les échanges respectent les exigences de l'entente ainsi que les normes de sécurité. La vérification a démontré que les gestionnaires, les utilisateurs et les personnes autorisées n'avaient pas une connaissance suffisante du PE, de leurs rôles et responsabilités et des exigences de s'y conformer. Par conséquent, des échanges fréquents, permis selon le paragraphe 241(4) de la LIR, s'effectuaient par des personnes non autorisées en vertu du PE. De plus, il y avait des cas où des renseignements échangés ainsi que la fréquence d'envoi de certains renseignements ne respectaient pas le PE.

Des lacunes ont été constatées dans les modes de transmission électroniques des renseignements et de leur protection. Cependant, il importe de mentionner qu'aucune des personnes interrogées n'avait eu connaissance d'incident de sécurité lié aux renseignements échangés avec RQ tels qu'un accès non autorisé, une erreur d'acheminement ou une perte de renseignements. Ces informations ont été corroborées auprès des représentants de la sécurité locale, régionale et nationale. Les recommandations de la Vérification interne visent à réduire les risques d'incident potentiel.

La DGPP, le Bureau régional du Québec et les bureaux locaux n'avaient pas mis en place de moyens de contrôle et de suivi tant sur l'utilisation des renseignements reçus que sur la divulgation et la reddition de compte.

Toutefois, les entrevues permettent de conclure que l'entreposage ou la destruction des documents obtenus de RQ était conforme aux normes de l'ARC et aux exigences du PE et bénéficiait du même traitement accordé aux renseignements reçus des clients.

Finalement, la révision du PE et de ses annexes devrait être améliorée. Malgré que les annexes faisaient états de certaines modifications au cours des ans, le PE n'a pas fait l'objet d'une refonte depuis 1993. Des améliorations devraient aussi être apportées à la disponibilité, à l'identification et la classification des documents de références.

Plans d'action: La DRFPP ainsi que le DPF ont soumis des plans d'action afin de répondre aux recommandations soulevées. Entre autres, ils adapteront les séances de sensibilisation aux besoins des agents de liaison et informeront les employés de l'obligation de communiquer avec RQ exclusivement par l'entremise des personnes autorisées. Les modes de transmission à utiliser seront revus et communiqués aux employés.

Quant aux moyens de contrôle et de suivi ainsi que la reddition de compte, un projet de plan d'affaire est présentement en élaboration et sera déposé en mars 2007. De plus, une politique nationale incluant la mise sur pied de registres est en voie de développement et sera complétée d'ici décembre 2007. Une revue du PE sera effectuée par la DRFPP et le DPF, en collaboration avec RQ. Des mesures correctrices ont déjà été apportées à la disponibilité, à l'identification et la classification des documents de références.

Introduction

L'Agence du revenu du Canada (ARC) a plus de 300 protocoles d'entente (PE) et accords conclus avec les ministères et les organismes fédéraux, provinciaux et territoriaux. Ces PE sont sous la responsabilité de la Division des relations fédérales et provinciales et de la politique (DRFPP) de la Direction générale de la politique et de la planification (DGPP)[Note 2], laquelle division agit à titre de bureau de première responsabilité, de centre d'expertise et d'autorité fonctionnelle pour ces ententes. Le protocole sur les échanges de renseignements relatifs aux impôts conclu le 24 août 1988, entre le ministre du Revenu national et le ministre du Revenu du Québec, fait l'objet de la présente vérification. Compte tenu que de nombreux échanges de renseignements s'effectuent au niveau du Bureau régional du Québec et de ses bureaux locaux, le directeur des programmes fiscaux (DPF) de la région du Québec assume conjointement avec la DGPP la responsabilité de mise en oeuvre des activités décrites dans cette entente. De plus, le DPF coordonne les demandes de renseignements des autres régions de l'ARC devant être acheminées à Revenu Québec (RQ).

Les échanges de renseignements effectués dans le cadre de ce PE sont nombreux et constituent une source importante d'information pour l'atteinte des objectifs des divers programmes des deux organisations. Ce PE couvre l'échange de renseignements provenant de différents secteurs opérationnels de l'ARC, impliquant l'envoi de plus de 65 types d'information à RQ et la réception de 31 types d'information de celui-ci et ce, à des fréquences variables. Notons qu'un seul type d'information peut représenter plusieurs milliers d'échanges distincts. Ces échanges s'effectuent par les bureaux de la région du Québec ainsi que par plusieurs directions générales de l'ARC.

La divulgation d'un renseignement confidentiel est permise si elle rencontre les exigences du paragraphe 241(4) de la Loi de l'impôt sur le revenu du Canada (LIR). Selon le paragraphe 241(4), un renseignement confidentiel peut être divulgué à un fonctionnaire provincial, sous certaines conditions. En accord avec le paragraphe 241(4), le PE énonce des exigences additionnelles; essentiellement, le PE est une entente administrative dont le but est de mieux encadrer les échanges de renseignements entre l'ARC et RQ.

Au cours des dernières années, RQ a complété une vérification interne portant sur ce PE au sein de ses opérations. Subséquemment, RQ a demandé à l'ARC de procéder à une vérification similaire. Cette vérification fait également partie d'un ensemble de vérifications visant à assurer l'observation des modalités régissant les échanges d'information entre l'ARC et d'autres organisations.

Portée de la vérification

L'objectif de la vérification consistait à fournir l'assurance à la haute direction que l'ARC respecte les conditions générales régissant la réception, l'utilisation, l'entreposage, et le retour ou la destruction des renseignements reçus de RQ de même que l'envoi de renseignements à ce dernier conformément au PE. Cette vérification s'est tenue dans la région du Québec, ainsi qu'à l'AC. Elle a impliqué certains intervenants, du Bureau régional du Québec, de différents bureaux locaux et des directions générales. La phase d'examen s'est déroulée de novembre 2004 à juin 2005.

Il importe aussi de spécifier que cette vérification ne traite pas des autres PE, accords, conventions, lettres d'intention et autres arrangements conclus avec le gouvernement du Québec lesquels font l'objet d'ententes de collaboration écrites distinctes.

Constatations, recommendations et plans d'actions

Personnes autorisées

Afin de s'assurer du respect des règles d'application, de confidentialité et d'administration de ce PE et de restreindre le nombre de personnes impliquées dans les échanges de renseignements, la présentation des demandes de renseignements ne doit se faire que par l'intermédiaire des fonctionnaires désignés selon les annexes « C » et « D » du PE ou des personnes désignées par eux. Pour l'ARC, ces personnes figurent à la Liste des personnes de l'Agence du revenu du Canada autorisées à échanger des renseignements avec Revenu Québec sur des données fiscales concernant un contribuable et pour Revenu Québec à la Liste des personnes désignées pour les activités d'impôt.

Ces listes étaient disponibles et mises à jour mensuellement sur le site Intranet de la région du Québec. Par contre, aucun employé de la DGPP et de plusieurs directions concernées de l'AC ne figurait à la liste des personnes autorisées de l'ARC. De plus, ces listes n'étaient pas disponibles sur le site Intranet de la DGPP lequel est l'endroit de référence pour les employés de l'ARC.

Dans tous les sites vérifiés, des vérifications de conformité et des entrevues avec le personnel nous permettaient de conclure que des échanges fréquents de renseignements s'effectuaient par des personnes ne figurant pas aux listes des personnes autorisées ou désignées. De plus, certains secteurs n'avaient qu'une seule personne autorisée sans suppléant. En outre, des échanges de renseignements quotidiens avaient lieu entre des personnes autorisées de l'ARC, d'un secteur donné, sans s'assurer que leurs interlocuteurs étaient des personnes désignées de RQ.

Des sessions d'information d'une durée approximative de deux heures sur les diverses ententes de collaboration écrites et les PE en général ont été données depuis 2002 à plus de 500 employés incluant des personnes autorisées et des gestionnaires de la région du Québec. Malgré ces sessions, les entrevues ont démontré que ceux-ci n'avaient pas une connaissance suffisante de leurs rôles et responsabilités face au PE. Certains n'étaient pas suffisamment informés de l'existence de ce PE et des exigences de s'y conformer.

En effet, aucune formation spécifique n'existait sur ce PE et n'était offerte aux personnes autorisées; ils n'avaient pas une connaissance suffisante des documents qu'ils pouvaient ou ne pouvaient pas échanger. Plusieurs de ces personnes héritent de cette fonction de par le poste qu'ils occupent, (ex.: poste de conseiller technique), sans encadrement à l'égard du PE.

Les auteurs d'une directive nationale émise en janvier 2005 n'étaient pas au courant de l'existence du PE et de ces exigences. Cette directive demandait d'expédier les explications des changements apportés aux nouvelles cotisations (T7WC) pour les Déclarations de revenus des sociétés à des personnes qui ne figuraient pas sur la liste des personnes désignées et ce, à une fréquence non conforme au PE.

Recommandations

La DGPP conjointement avec le DPF devrait:

• réviser la liste des personnes autorisées de l'ARC et la liste des personnes désignées de RQ afin que ces listes reflètent les personnes qui échangent les renseignements et les rendre disponibles sur le site Intranet de la DGPP. De plus, ils devraient s'assurer d'avoir au moins une personne autorisée suppléante dans les secteurs où il n'y a qu'une seule personne autorisée;
• prendre les mesures nécessaires pour restreindre l'échange de renseignements aux personnes figurant sur les listes de l'ARC et de RQ ou par leurs propres intermédiaires;
• informer les employés concernés de l'existence de ce PE, de la structure en place et de l'exigence de s'y conformer;
• former les personnes autorisées à échanger des renseignements adéquatement.

La DGPP devrait aussi s'assurer que la procédure émise par une autre direction générale de l'AC respecte les exigences du PE.

Plans d'action

La liste des agents de liaison sera mise et gardée à jour. Elle sera rendue disponible sur le site Intranet de la Région du Québec et de la DRFPP. Responsables: Le directeur des programmes fiscaux et le directeur de la DRFPP. Échéancier: 31 décembre 2005.

Le Comité régional de l'impôt (CRI), qui regroupe tous les directeurs des bureaux locaux et des centres fiscaux de la région du Québec, sera sensibilisé aux exigences légales et administratives relativement à la communication des renseignements. Notamment, ils informeront les employés de la nécessité que la communication se fasse exclusivement par les agents de liaison et de l'obligation de recourir à un autre agent s'il n'y en a pas de disponible dans leur secteur. Des suppléants ne seront pas nécessairement nommés, et ce afin de restreindre le nombre de personnes échangeant des renseignements. Responsable: Le directeur des programmes fiscaux. Échéancier: 31 décembre 2005.

Des séances de sensibilisation à l'intention des agents de liaison portant sur le PE et sur les renseignements qui peuvent être échangés ont été données à plusieurs reprises par la coordonnatrice régionale des relations fédérales-provinciales. La Région en collaboration avec la DRFFP fera une mise à jour de ces séances de sensibilisation et poursuivra la mise en oeuvre de ces séances. Responsables: Le directeur des programmes fiscaux et le directeur de la DRFPP. Échéancier: 30 juin 2006.

La DRFPP communiquera avec les auteurs de la directive nationale émise en janvier 2005 concernant l'expédition des T7WC afin de discuter de la situation en vue soit de modifier la directive, soit de modifier le PE dans le but de les rendre compatibles. Responsable: Le directeur des programmes fiscaux. Échéancier: 31 octobre 2005.

Renseignements échangés

La divulgation d'un renseignement confidentiel n'est permise que si elle rencontre les exigences du paragraphe 241(4) de la Loi de l'impôt sur le revenu du Canada. Ce paragraphe définit quels sont les renseignements qui peuvent être communiqués, à qui et à quelles fins. Par surcroît, tous les renseignements dont la divulgation est autorisée en vertu du PE ainsi que la fréquence de transmission sont décrits aux annexes « A » en ce qui concerne l'ARC et « B » en ce qui concerne RQ. Les demandes de renseignements qui ne sont pas prévues à ces annexes doivent être évaluées selon l'article 4 du PE et si acceptées y être ajoutées, à moins qu'il s'agisse d'une demande acceptée non répétitive.

Il importe de souligner que le DPF a promptement rectifié une situation dès qu'elle a été portée à leur attention en cours de vérification. Le site Intranet régional donnait accès à une version périmée de l'annexe « A » du PE, Liste des renseignements dont la divulgation à RQ est autorisée, à la place d'utiliser un hyper lien donnant accès au site Intranet de la DGPP.

La vérification a identifié des cas où des renseignements échangés entre l'ARC et RQ n'étaient pas conformes aux renseignements décrits aux annexes « A » et « B » du PE. Ces cas ont été observés lors de la revue de dossiers et ont été notés lors des entrevues avec différents intervenants. Par exemple, un document était envoyé à différents bureaux de RQ, en substitution du formulaire prescrit au PE (T7WC) tandis que, dans un secteur donné, plus de renseignements que requis étaient fournis à RQ.

De plus, la fréquence d'envoi de certains renseignements ne respectait pas le PE. À titre d'exemple, les rapports de vérification de l'ARC étaient envoyés automatiquement à RQ au lieu de lui être envoyé « sur demande » tel que stipulé au PE, et ce pour la totalité des secteurs vérifiés de cette division de la région du Québec. Également, un autre secteur opérationnel d'un des bureaux vérifiés de l'ARC transmettait les résultats des vérifications des employeurs à RQ aux deux mois au lieu de mensuellement. D'autres écarts, sur une base moins régulière, ont également été notés dans plusieurs divisions.

La région du Québec de l'ARC s'est dotée d'une procédure pour le traitement des formulaires reçus de RQ expliquant les changements apportés à leurs nouvelles cotisations (ADM72). Cependant, selon les informations recueillies lors des entrevues, cette procédure n'était pas suivie de façon uniforme dans les différents bureaux de l'ARC de la région du Québec. Dans certains cas, elle était même contournée, entres autres, au niveau du respect des personnes autorisées/désignées, aux renseignements échangés et à leur fréquence de transmission.

Recommandations

La DGPP conjointement avec le DPF devrait s'assurer que l'ARC respecte le PE en n'échangeant que les renseignements figurant sur les annexes « A » et « B » du PE, et ce à la fréquence convenue. Sinon la DGPP et le DPF devraient demander des modifications au PE.

La DGPP conjointement avec le DPF devrait mettre fin à la pratique d'échanger des renseignements non autorisés, et au besoin devrait négocier un PE avec les organisations concernées lorsque des renseignements, sous une autre juridiction, sont requis.

Le DPF devrait également s'assurer du respect et de l'application uniforme de la procédure régionale de traitement des formulaires reçus de RQ expliquant les changements apportés à leurs nouvelles cotisations.

Plans d'action

Le directeur des programmes fiscaux présentera au CRI, les constatations de la Vérification interne, notamment en ce qui a trait aux renseignements qui peuvent être communiqués et à la fréquence permise en vertu du PE. S'il y a lieu de modifier le PE, les demandes de modifications appropriées seront présentées à la DRFPP qui se chargera d'y donner suite. Responsables: Le directeur des programmes fiscaux et le directeur de la DRFPP. Échéancier: 31 décembre 2005.

Il est à noter qu'un accès direct à la base de données d'une autre organisation distincte est présentement en négociation.

La procédure régionale de traitement des ADM72 sera révisée. Au besoin, la procédure sera modifiée et, si requis, une demande de modification du PE sera présentée à la DRFPP. Responsable: Le directeur des programmes fiscaux. Échéancier: 31 décembre 2005.

Confidentialité et sécurité

La direction des différents bureaux vérifiés est conscientisée à tout ce qui touche la confidentialité et la sécurité des renseignements protégés, sans égard à leur provenance, et s'assure de sensibiliser leurs employés à ce sujet. Des avis annuels concernant cette question sont faits à tous les employés tout en leur rappelant leurs engagements envers le Code de déontologie et de conduite. De nombreuses initiatives de sensibilisation ont été mises sur pied dans la région du Québec, dont: le rappel annuel fait par la sous-commissaire, la campagne régionale sur la protection des renseignements des clients « Arrêtez - Pensez-y » qui a eu lieu en 2002 ainsi que la campagne sur l'Éthique en milieu de travail qui a débuté dans l'exercice 2004-2005.

Il importe aussi de mentionner qu'aucune des personnes interrogées n'avait eu connaissance d'incident de sécurité lié aux renseignements échangés avec RQ tels qu'un accès non autorisé, une erreur d'acheminement ou une perte de renseignements. Ces informations ont été corroborées auprès des représentants de la sécurité tant au niveau local, régional qu'au niveau de la Direction de la sécurité. L'accès aux locaux et aux secteurs de travail était dûment protégé tel que requis par le PE.

Toutefois, la vérification a révélé des lacunes dans les modes de transmission électroniques des renseignements et de leur protection. Des quantités importantes de renseignements, incluant des micro-données, étaient transmises à RQ par courriel ou sur support électronique par le courrier (disques compacts « CD » ou bandes magnétiques) et n'étaient pas adéquatement chiffrés ou protégés. Le fax non sécurisé était utilisé pour échanger des renseignements protégés. De plus, les différents intervenants avaient aussi été informés de l'existence d'un lien courriel à haute vitesse entre les deux organisations. Cependant, ce lien n'était pas approprié pour le type de renseignements habituellement échangés dans le cadre du présent PE. Cette situation à été portée à l'attention de la DGPP en janvier 2005. Dans d'autres cas, lors de l'envoi de renseignements par courrier entre les deux organisations, certains bureaux de RQ et de l'ARC préféraient se prévaloir d'une protection accrue.

Une vérification, au dossier personnel de 29 employés des secteurs opérationnels qui avaient eu accès à des renseignements en provenance de RQ, démontre que ces employés avaient tous signés la déclaration de confidentialité requise par le PE et de plus, possédaient des autorisations de sécurité en bonne et due forme.

L'annexe « E » du PE, qui dicte les normes à respecter afin d'assurer la protection des renseignements échangés, n'était pas accessible par le biais du site de la DGPP qui est la seule source de référence à l'égard du PE. Cette annexe exige que la transmission de renseignements protégés soit préservée par des normes rigoureuses de sécurité égales ou supérieures à celles appliquées à la conservation et à l'utilisation de ces renseignements. À ce sujet, les normes de l'ARC sont décrites au Manuel des finances et de l'administration, volume sécurité.

Les listes des renseignements dont la divulgation est autorisée en vertu du PE, annexes « A » et « B » n'avaient pas de cote les identifiant comme des renseignements « protégés ». Puisque ces listes incluent des seuils de tolérance, des cotes indiquant le niveau de protection devraient y être apposées afin de sensibiliser les personnes qui les consultent au degré de protection requis. Ces cotes permettent aussi d'assurer la confidentialité, l'intégrité et la disponibilité des renseignements que les annexes contiennent. En ce qui concerne la protection des originaux et des textes d'engagement signés par l'ARC à l'égard de ce PE, une copie papier était conservée au secteur de la DGPP et une version électronique était disponible sur leur site Intranet. Selon les informations obtenues, l'original du PE et de ses documents à l'appui étaient conservés au Dépôt des documents de l'édifice Connaught de l'AC.

Recommandations

La DGPP conjointement avec le DPF devrait:

• s'assurer que les moyens de transmission et de protection électronique respectent les normes de sécurité de l'ARC;
• aviser l'ensemble des intervenants impliqués dans le PE avec RQ à savoir si le courriel peut être utilisé dans l'échange de renseignements avec RQ et sous quelles conditions.

La DGPP devrait:

• rendre disponible l'annexe « E » sur leur site Intranet;
• identifier les annexes du PE avec des cotes indiquant qu'il s'agit de renseignements protégés nécessitant un niveau approprié de protection.

Plans d'action

La DRFPP communiquera avec la Direction de la statistique et de la gestion des ressources pour l'informer des modes de transmission qu'il est possible d'utiliser pour la communication des renseignements en vertu du PE et des mesures de sécurité s'y rapportant. Responsable: Le directeur de la DRFPP. Échéancier: 30 septembre 2005.

Le mode de transmission par courriel n'est pas prévu dans le PE. Un avis sera émis aux agents de liaison pour les informer de ne pas utiliser le courriel ainsi que le fax lors d'échange de renseignements protégés avec RQ. Responsable: Le directeur des programmes fiscaux. Échéancier: 15 octobre 2005.

Le mode de transmission des renseignements et les mesures de sécurité s'y rapportant feront partie des sujets traités durant les séances de formation à l'intention des agents de liaison et seront reflétés dans les initiatives de sensibilisation et les communications avec le CRI. Responsables: Le directeur de la DRFPP et le directeur des programmes fiscaux. Échéancier: 30 juin 2006.

Le PE est disponible sur le site Intranet de la DRFPP. La mention « Protégé B » ainsi que l'annexe « E » traitant de la sécurité y seront ajoutés. Responsable: Le directeur de la DRFPP. Échéancier: 31 octobre 2005.

L'inscription de la mention « Protégé » fait partie des points couverts par la révision des PE concernant la communication de renseignements dans le cadre de l'élaboration d'une politique nationale actuellement en développement à la DRFPP.

Contrôles et suivis

Selon le PE, un système de relevés d'utilisation doit être maintenu pour assurer un contrôle des demandes d'accès et de l'usage des renseignements protégés. Mais aussi, selon la Politique de gestion des renseignements protégés sur les clients sous la responsabilité de la DRFPP, la DGPP doit tenir un registre ministériel du genre et de la fréquence des renseignements protégés sur les clients qui sont communiqués à d'autres organisations. Les opérations régionales, quant à elles, doivent gérer la divulgation de tels renseignements par les bureaux locaux et faire en sorte que des garanties et des contrôles soient en place.

Mis à part les données sur les échanges de renseignements faits au niveau national, consignées via le “Central off-site data distribution control log form” et le “Release of client information form”, la DGPP ne recueillait aucune donnée sur les renseignements échangés par le Bureau régional du Québec et les bureaux locaux. Ni la DGPP, ni le Bureau régional, ni les bureaux locaux n'avaient établi de moyens structurés de contrôle et suivi afin de s'assurer que les échanges de renseignements respectaient les politiques, les procédures et les exigences du PE. De plus, il n'y avait pas de relevés d'utilisation maintenus pour assurer un contrôle des demandes d'accès en fonction d'un besoin de savoir des employés et de l'utilisation des renseignements protégés.

Les documents conservés, à l'appui des échanges de renseignements, étaient soit difficilement repérables, fragmentaires, non constants ou inexistants. D'ailleurs, aucune norme n'était prescrite par la DGPP afin de conserver une piste de vérification de ces échanges. Cependant depuis février 2004, un seul secteur d'un site cumulait des données de renseignements échangés, telles que le nom du demandeur, l'information échangée, la date de la demande, la date de réception de l'information et l'utilisateur de l'information.

Afin de rencontrer les exigences de la Politique de gestion des renseignements protégés sur les clients, les opérations régionales doivent faire régulièrement rapport à la DGPP concernant le genre et la fréquence des divulgations de renseignements protégés sur les clients à d'autres organisations. Cependant, aucun rapport n'était demandé des bureaux locaux ni produit par les opérations régionales du Québec pour rendre compte à la DGPP.

Recommandations

La DGPP devrait se doter de moyens afin de maintenir un système de relevés d'utilisation pour assurer un contrôle des demandes d'accès et de l'usage des renseignements protégés obtenus dans le cadre de ce PE tant au niveau de la DGPP que des opérations régionales.

Le DPF devrait, conformément à la Politique de gestion des renseignements protégés sur les clients, faire régulièrement rapport à la DRFPP concernant le genre et la fréquence des divulgations de renseignements sur les clients à RQ.

Plans d'action

Un projet de plan d'affaire est présentement en élaboration et sera déposé pour acceptation en mars 2007. Une politique nationale est en voie de développement pour l'établissement de moyens structurés de contrôle et de suivi concernant les renseignements communiqués par les Bureaux de services fiscaux, les Centres fiscaux et l'AC, notamment la mise sur pied de registres en collaboration avec les intervenants régionaux concernés. Responsable: Le directeur de la DRFPP. Échéancier: 31 décembre 2007.

Entreposage, retour ou destruction

Compte tenu du manque de contrôle et de suivi relié à l'échange de renseignements avec RQ mentionné précédemment, la vérification ne permet pas de fournir l'assurance que les renseignements provenant spécifiquement de RQ sont entreposés, retournés ou détruits lorsque requis dans le respect du PE. Cependant, ils bénéficiaient du même traitement accordé aux renseignements reçus des contribuables peu importe leur provenance. Effectivement, les entrevues avec le personnel, les observations visuelles et les tests de conformité effectués permettent de conclure que les normes du Manuel des finances et de l'administration, volume sécurité ainsi que les exigences du PE sont respectées concernant l'entreposage et la destruction des renseignements.

De plus, selon les personnes interviewées, aucun des renseignements reçus de RQ ne lui était retourné après traitement. Les renseignements étaient joints au dossier du client pour être entreposés après avoir été utilisés ou détruits lorsqu'ils n'étaient plus requis selon les exigences et les procédures approuvées par la Direction de la sécurité.

Mise à jour du protocole d'entente

Selon le document Gestion du cycle de vie des protocoles d'entente et des ententes, il importe que les ententes de collaboration écrites soient examinées à intervalles périodiques, par exemple, au moins tous les cinq ans. On s'assure ainsi que les renseignements fournis dans le cadre de l'entente sont toujours nécessaires et qu'on met fin aux ententes dépassées.

À cet égard, le processus de révision du PE et de ses annexes doit être amélioré. Le PE n'a pas fait l'objet d'une révision depuis 1993. Selon la DGPP, compte tenu des priorités et des ressources disponibles aucun échéancier n'avait pu être donné pour la refonte du PE. Les annexes « A » et « B » du site Intranet de la DGPP faisaient état de multiples ajouts et/ou de modifications avec annotations et ratures au cours des ans. Par contre, il n'y avait pas de date de mise à jour sur les annexes « A » et « B » permettant au lecteur de savoir si les annexes ont fait l'objet d'une modification depuis la dernière consultation. De plus, aucun processus formel de modifications n'était connu par les intervenants pour soumettre les demandes de modifications au PE.

Quatre énoncés de renseignements figuraient à la Liste des renseignements dont la divulgation à RQ est autorisée (annexe « A ») du PE avec la mention « ajout non officiel » ou « accord de l'ADRC à venir » dont trois d'entre eux dataient de 1996. Au cours de la vérification, ces éléments non approuvés ont été retirés. Puisque ces annexes sont les seuls documents de référence pour les personnes de l'ARC autorisées à échanger avec RQ, lesdites mentions auraient pu porter à confusion quant au droit d'échanger de l'information à ce sujet.

Recommandations

La DGPP devrait:

• procéder à une mise à jour du PE et de ces annexes après avoir sollicité les commentaires des divers intervenants et indiquer la date de révision des annexes;
• établir un échéancier de révision du PE pour s'assurer d'une révision périodique et à intervalle régulier dans l'avenir.

Plans d'action

La DRFPP effectue présentement une revue du PE en collaboration avec le directeur des programmes fiscaux ainsi qu'avec RQ. Suite à des discussions avec RQ, nous prévoyons terminer cette revue en décembre 2006. Responsable: Le directeur de la DRFPP. Échéancier: 31 décembre 2006.

Le PE est disponible sur le site Intranet de la DRFPP. La mention de la date de mise à jour des annexes « A » et « B » sera ajoutée. La présence et le bon fonctionnement d'un hyper lien sur le site de la Région seront vérifiés. Responsable: Le directeur de la DRFPP. Échéancier: 31 octobre 2005.

Les questions relatives à l'examen à intervalles réguliers et périodiques permettant de s'assurer que les renseignements fournis dans le cadre de l'entente sont toujours nécessaires et qu'on met fin aux ententes dépassées seront traitées dans le développement de la politique nationale. Responsable: Le directeur de la DRFPP. Échéancier: 31 décembre 2007.

Conclusion

L'ARC a mis en place des moyens afin de protéger le caractère confidentiel des renseignements sur les clients sous sa responsabilité, sans égard à leur provenance. Toutefois, elle se doit de resserrer la gestion de ce PE afin que les échanges respectent les exigences de l'entente ainsi que les normes de sécurité. La vérification a démontré que les gestionnaires, les utilisateurs et les personnes autorisées n'avaient pas une connaissance suffisante du PE, de leurs rôles et responsabilités et des exigences de s'y conformer. Par conséquent, des échanges fréquents, permis selon le paragraphe 241(4) de la LIR, s'effectuaient par des personnes non autorisées en vertu du PE. De plus, il y avait des cas où des renseignements échangés ainsi que la fréquence d'envoi de certains renseignements ne respectaient pas le PE.

Des lacunes ont été constatées dans les modes de transmission électroniques des renseignements et de leur protection. Cependant, il importe de mentionner qu'aucune des personnes interrogées n'avait eu connaissance d'incident de sécurité lié aux renseignements échangés avec RQ tels qu'un accès non autorisé, une erreur d'acheminement ou une perte de renseignements. Ces informations ont été corroborées auprès des représentants de la sécurité locale, régionale et nationale. Les recommandations de la Vérification interne visent à réduire les risques d'incident potentiel.

La DGPP, le Bureau régional du Québec et les bureaux locaux n'avaient pas mis en place de moyens de contrôle et de suivi tant sur l'utilisation des renseignements reçus que sur la divulgation et la reddition de compte.

Toutefois, les entrevues permettent de conclure que l'entreposage ou la destruction des documents obtenus de RQ était conforme aux normes de l'ARC et aux exigences du PE et bénéficiait du même traitement accordé aux renseignements reçus des clients.

Finalement, la révision du PE et de ses annexes devrait être améliorée. Malgré que les annexes faisaient états de certaines modifications au cours des ans, le PE n'a pas fait l'objet d'une refonte depuis 1993. Des améliorations devraient aussi être apportées à la disponibilité, à l'identification et la classification des documents de références.

La DRFPP ainsi que le directeur des programmes fiscaux ont soumis des plans d'action afin de répondre aux recommandations soulevées.

Notes

[Note 1]

Suite à la restructuration de l'ARC à compter du 24 janvier 2006, les responsabilités sont maintenant celles de la Direction générale des stratégies d'entreprise et de la croissance des marchés. Le rapport de vérification conserve la terminologie appropriée au moment de la vérification et les recommandations s'appliquent aux unités organisationnelles successives.

[Note 2]

Suite à la restructuration de l'ARC à compter du 24 janvier 2006, les responsabilités sont maintenant celles de la Direction générale des stratégies d'entreprise et de la croissance des marchés. Le rapport de vérification conserve la terminologie appropriée au moment de la vérification et les recommandations s'appliquent aux unités organisationnelles successives.